AWS認定資格 WEB問題集＆徹底解説

会員登録/ログイン

1. サービス概要

AWS Audit Managerは、AWS利用状況の監査証跡（Evidence）を継続的に収集し、リスク管理やコンプライアンス監査の準備を効率化するサービスです。 フレームワーク、コントロール、アセスメントを使い、AWS Config、CloudTrail、Security Hub CSPMなどから監査に使える証跡を自動収集します。

重要な注意点として、2026年6月時点でAWS Audit Managerは新規顧客向けに提供されていません。既存顧客は通常どおり利用できます。 試験では、Audit Managerは「自社AWS利用の監査証跡収集と監査準備」、AWS Artifactは「AWS自身のコンプライアンスレポート取得」と切り分けます。

2. 主な特徴と機能

2.1 Assessment、Framework、Control

Assessmentは監査対象スコープと期間を表す作業単位です。 FrameworkはPCI DSS、SOC 2、HIPAA、GDPR、CIS、AWS operational best practicesなどの標準に沿ったControlの集合で、Controlは証跡を収集・評価する監査項目です。

2.2 Evidenceの自動収集

Audit Managerは、CloudTrailのユーザーアクティビティ、AWS Configのリソース設定、Security Hub CSPMのチェック結果などをEvidenceとして収集し、関連するControlへ自動的に紐付けます。 手作業のスクリーンショットやログ収集を減らすことが目的です。

2.3 Evidence finderとレポート

Evidence finderを使うと、収集済み証跡を条件で検索し、CSVにエクスポートしたり、Assessment reportに含めたりできます。 監査人へ提出するレポートでは、要約と詳細Evidenceへのリンクをまとめられます。

2.4 カスタムControl/Framework

標準フレームワークをそのまま使うだけでなく、企業独自のポリシーや内部監査要件に合わせてカスタムControlやカスタムFrameworkを作成できます。 質問票への回答など、手動Evidenceも管理できます。

2.5 マルチアカウントと委任

AWS Organizationsと連携し、複数アカウントを監査スコープに含められます。 Control setを担当者へ委任し、レビュー、コメント、ステータス更新を分担できるため、監査チームと各サービス担当者の協業に向きます。

2.6 関連サービスとの違い

AWS ArtifactはAWSのSOC/ISO/PCIなどのレポートや契約文書を取得するポータルです。 Audit Managerは、自社のAWSアカウントで運用しているリソースや操作に関するEvidenceを収集・管理するサービスです。

3. アーキテクチャおよび技術要素

1. 既存顧客環境でAudit Managerを有効化し、AWS Organizations連携や委任管理者を設定する。
2. 標準またはカスタムFrameworkを選択し、Assessmentを作成する。
3. 対象アカウント、リージョン、サービス、監査期間をスコープとして指定する。
4. Audit ManagerがCloudTrail、Config、Security Hub CSPMなどからEvidenceを継続収集する。
5. 担当者がControl setをレビューし、不足Evidenceや手動Evidenceを補足する。
6. Assessment reportを生成し、監査人やコンプライアンス担当へ提出する。

Audit Managerはコンプライアンス判定を法的に保証するものではなく、監査に必要な証跡収集とレビューを効率化する支援サービスです。

4. セキュリティと認証・認可

• IAM最小権限: Assessment作成、Evidence閲覧、レポート生成、フレームワーク管理、委任管理を職務分掌に合わせる。
• Organizations連携: 委任管理者とメンバーアカウントの権限を明確化し、監査スコープを必要範囲に限定する。
• Evidence保護: Evidenceには構成情報、操作履歴、セキュリティ検出結果が含まれるため、暗号化、保持期間、アクセス制御を設計する。
• 監査ログ: Audit Manager操作自体もCloudTrailで記録し、レポート生成やEvidence閲覧を監査する。
• 手動Evidence: 外部証跡やマルチクラウド証跡をアップロードする場合、機密データのマスキングと保存場所を確認する。
• 提供状況: 新規顧客向け提供終了を踏まえ、新規設計ではSecurity Hub、Config conformance packs、Artifact、独自GRCツールの組み合わせを検討する。

5. 料金形態

AWS Audit Managerは既存顧客向けに、Assessmentで評価されるリソースやEvidence収集に関連する利用量に応じて課金されます。

• Resource assessment: アセスメント対象のリソース評価やEvidence収集が課金対象になる。
• 周辺サービス: CloudTrail、Config、Security Hub CSPM、S3、KMS、EventBridgeなどの利用料も考慮する。
• レポート/保存: EvidenceやAssessment reportの保存場所と保持期間に応じたストレージコストを見積もる。
• コスト最適化: 監査対象アカウント、リージョン、サービス、Frameworkを必要範囲に絞る。
• 停止: 監査完了後に不要なEvidence収集を止めるには、Assessmentをinactiveにする。

6. よくあるアーキテクチャ・設計パターン

• PCI/SOC/HIPAA監査準備: 標準Frameworkを使い、AWSアカウントのEvidenceを継続収集して監査前の準備を進める。
• 内部統制監査: カスタムFrameworkとControlで社内ポリシーに沿った証跡を収集する。
• マルチアカウント監査: Organizationsで監査管理アカウントから複数アカウントをスコープ化する。
• Security Hub連携: Security Hub CSPMのチェック結果をEvidenceとして取り込み、セキュリティ態勢を監査に反映する。
• 外部Evidence管理: オンプレミスやマルチクラウドの証跡を手動Evidenceとしてアップロードし、同じAssessmentで管理する。
• Artifactとの併用: AWS側のコンプライアンスレポートはArtifact、自社運用のEvidenceはAudit Managerで管理する。

7. 設定・デプロイ手順（ハンズオン例）

1. 既存顧客環境でAudit Managerを開き、推奨設定と委任管理者を確認する。
2. 標準FrameworkまたはカスタムFrameworkを選び、Assessmentを作成する。
3. 対象アカウント、リージョン、サービス、監査期間を指定する。
4. CloudTrail、Config、Security Hub CSPMから収集されたEvidenceをControlごとに確認する。
5. 不足する証跡や外部証跡を手動Evidenceとして追加し、Control setを担当者へ委任する。
6. Evidence finderで証跡を検索し、Assessment reportを生成して提出する。

8. 試験で問われやすいポイント